Tellimuste töötlemise

lisatingimused

Tellimuste töötlemise eeskirjad täiendavad Jungherz GmbH kui brändi AppConfector haldaja (edaspidi „Täitja“) üldtingimusi. Nendega kindlalt seotuna nõustute Teie kui klient (edaspidi „Tellija“) ärisuhte raames automaatselt käesolevate lisatingimustega. Kui käesolevad eeskirjad ja üldtingimused on omavahel vastuolus, on tellimuste töötlemisel ülimuslikud käesolevad eeskirjad.

Täitjat ja klienti nimetatakse edaspidi ühiselt „poolteks“.

Pooled lepivad kokku, et käesoleva töötlemislepingu jõustumisel lõpetatakse vastastikusel kokkuleppel poolte vahel kehtiv andmetöötlemisleping vastavalt Saksamaa föderaalse andmekaitseseaduse §-le 11 ning kõik muud andmetöötlemislepingud asendatakse käesoleva uue töötlemislepinguga.

1. Üldine

(1) Töötleja töötleb isikuandmeid kliendi nimel määruse (EL) 2016/679 (isikuandmete kaitse üldmäärus, edaspidi „GDPR“) artikli 4 lõike 8 ja artikli 28 tähenduses. Käesolev leping reguleerib poolte õigusi ja kohustusi seoses isikuandmete töötlemisega.

(2) Kui käesolevas lepingus kasutatakse mõistet „andmete töötlemine” või „töötlemine”, kohaldatakse „töötlemise” määratlust määruse (EL) 2016/679 artikli 4 punkti 2 tähenduses.

(3) Kõik käesolevas lepingus esinevad viited DSGVO-le (Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta ning direktiivi 95/46/EÜ (isikuandmete kaitse üldmäärus) kehtetuks tunnistamise kohta) kehtivad DSGVO kehtiva versiooni kohta.

2. Tellimuse

objekt Töötlemise objekt, töötlemise liik ja eesmärk, isikuandmete liik ning asjaomaste isikute kategooriad on sätestatud käesoleva lepingu 1. lisas.

3. Kliendi õigused ja kohustused

(1) Tellija on vastutav töötleja DSGVO artikli 4 lõike 7 tähenduses andmete töötlemisel töötlejate nimel. Vastavalt käesoleva lepingu artikli 4 lõikele 5 on viimasel õigus teavitada tellijat, kui tellimuse ja/või juhise objektiks on andmete töötlemine, mis on tema arvates õiguslikult lubamatu.

(2) Klient vastutab asjaomaste isikute õiguste kaitse eest. Töötleja teavitab klienti viivitamatult, kui andmesubjektid kasutavad oma andmesubjekti õigusi töötleja suhtes.

(3) Kliendil on õigus anda töötlejale igal ajal täiendavaid juhiseid andmete töötlemise liigi, ulatuse ja korra kohta. Juhiseid võib anda tekstivormis (nt e-kirja teel).

(4) Sätted, mis käsitlevad tellija poolt antud täiendavate juhiste tulemusel töötlejale tekkinud lisakulude võimalikku hüvitamist, jäävad muutumatuks

. 5. Tellija teavitab töötlejat viivitamatult, kui ta avastab vigu või eeskirjade rikkumisi seoses töötleja poolt isikuandmete töötlemisega.

(6) Juhul, kui vastavalt DSGVO artiklitele 33 ja 34 või muule kliendile kohaldatavale õiguslikule teavitamiskohustusele on kohustus teavitada kolmandaid isikuid, vastutab kliendi poolt selle kohustuse täitmise eest.

4. Töötleja üldised kohustused

(1) Töötleja töötleb isikuandmeid ainult sõlmitud lepingute raames ja/või vastavalt kliendi antud täiendavatele juhistele. Erandiks on õigusnormid, mis võivad kohustada töötlejat andmeid teisiti töötlema. Sellisel juhul teavitab töötleja tellijat nendest õiguslikest nõuetest enne töötlemist, välja arvatud juhul, kui asjaomane seadus keelab sellise teavitamise olulise avaliku huvi tõttu. Andmete töötlemise eesmärk, laad ja ulatus reguleeritakse muul juhul ainult käesoleva lepinguga ja/või tellija juhistega. Töötlejal on keelatud andmeid muul viisil töödelda, välja arvatud juhul, kui töötleja on andnud selleks kirjaliku nõusoleku

. (2) Töötleja kohustub teostama andmete töötlemist kliendi nimel ainult Euroopa Majanduspiirkonnas, kui tehnilised asjaolud ei nõua teisiti.

(3) Isikuandmete töötlemisel vastavalt tellimusele tagab töötleja kõigi kokkulepitud meetmete lepingujärgse täitmise.

(4) Töötleja on kohustatud korraldama oma ettevõtte ja töökorralduse nii, et töötleja poolt kliendi nimel töödeldavad andmed on igal juhul vajalikus ulatuses turvatud ja kaitstud kolmandate isikute volitamata juurdepääsu eest. Töötleja lepib kliendi nimel toimuva andmetöötluse korralduses tehtavad muudatused, mis on olulised andmete turvalisuse seisukohast, eelnevalt kliendiga kokku.

(5) Töötleja teavitab klienti viivitamatult, kui tema arvates rikub kliendi antud juhis seaduslikke nõudeid. Töötlejal on õigus peatada kõnealuse juhise täitmine, kuni tellija on selle kinnitanud või muutnud. Kui töötleja suudab tõendada, et töötlemine vastavalt kliendi juhistele võib kaasa tuua töötleja vastutuse vastavalt DSGVO artiklile 82, on töötlejal õigus peatada edasine töötlemine selles osas, kuni pooltevaheline vastutus on selgitatud.

(6) Andmete töötlemine kliendi

nimel

töötleja või alltöövõtja äripindadest väljaspool on lubatud ainult kliendi kirjaliku või tekstivormis nõusolekul. Andmete töötlemine kliendi nimel erakodudes on lubatud ainult kliendi kirjaliku või tekstivormis nõusolekul üksikjuhtudel.

(7) Töötleja töötleb kliendi nimel töödeldavaid andmeid eraldi muudest andmetest. Füüsiline eraldamine ei ole kohustuslik.

5. Töötleja andmekaitseametnik

(1) Töötleja kinnitab, et on nimetanud andmekaitseametniku vastavalt DSGVO artiklile 37. Töötleja tagab, et andmekaitseametnikul on vajalikud kvalifikatsioonid ja erialateadmised. Töötleja teavitab klienti eraldi tekstivormis oma andmekaitseametniku nimest ja kontaktandmetest.

(2) Lõike 1 kohasest andmekaitseametniku nimetamise kohustusest võib tellija otsuse alusel loobuda, kui töötleja suudab tõendada, et tal ei ole seaduslikku kohustust andmekaitseametnikku nimetada, ning töötleja suudab tõendada, et on olemas tegevuskorraldus, mis tagab isikuandmete töötlemise kooskõlas õigusnormide, käesoleva lepingu sätete ja tellija edasiste juhistega.

6. Töötleja aruandluskohustused

(1) Töötleja on kohustatud viivitamatult teavitama tellijat igast andmekaitse-eeskirjade rikkumisest või sõlmitud lepingulistest kokkulepetest ja/või tellija antud juhistest, mis on toimunud andmete töötlemise käigus tema või teiste töötlemisega seotud isikute poolt. Sama kehtib ka igasuguse rikkumise kohta, mis puudutab isikuandmete kaitset, mida töötleja töötleb tellija nimel.

(2) Lisaks peab töötleja viivitamatult teavitama klienti, kui järelevalveasutus võtab vastavalt DSGVO artiklile 58 töötleja suhtes meetmeid ja see võib puudutada ka töötleja poolt kliendi nimel teostatavat töötlemist.

(3) Töötleja on teadlik, et kliendil võib olla teavitamiskohustus vastavalt DSGVO artiklitele 33 ja 34, mis näevad ette järelevalveasutuse teavitamise 72 tunni jooksul pärast rikkumise avastamist. Töötleja toetab klienti teatamiskohustuste täitmisel. Eelkõige teavitab töötleja klienti viivitamata igast volitamata juurdepääsust kliendi nimel töödeldavatele isikuandmetele, kuid hiljemalt 48 tunni jooksul pärast sellise juurdepääsu avastamist. Töötleja teade kliendile peab eelkõige sisaldama järgmist teavet:

  • isikuandmete kaitse rikkumise laadi kirjeldus, võimaluse korral koos asjaomaste isikute kategooriate ja ligikaudse arvu, asjaomaste kategooriate ning asjaomaste isikuandmete kirjetega;
  • kirjeldus meetmetest, mida töötleja on võtnud või kavandab võtta isikuandmete kaitse rikkumise kõrvaldamiseks, ning vajaduse korral meetmetest selle võimalike kahjulike mõjude leevendamiseks.

7. Töötleja koostöökohustused

(1) Töötleja toetab klienti tema kohustuses vastata andmesubjekti õiguste kasutamise taotlustele vastavalt DSGVO artiklitele 12–23. Kohaldatakse käesoleva lepingu punkti 11 sätteid.

(2) Töötleja osaleb tellija poolt töötlemistoimingute loetelude koostamisel. Töötleja edastab kliendile vajaliku teabe sobival viisil.

(3) Võttes arvesse töötlemise liiki ja talle kättesaadavat teavet, abistab töötleja klienti DPA artiklites 32–36 sätestatud kohustuste täitmisel.

(4) Tellimusel töötlejal on õigus nõuda kliendilt nende teenuste eest asjakohast kuludele vastavat tasu.

8. Kontrolliõigus

(1) Kliendil on õigus igal ajal vajalikus ulatuses kontrollida, kas töötleja järgib andmekaitsealaseid õigusnorme ja/või poolte vahel kokkulepitud lepingutingimusi ja/või järgib töötleja kliendi juhiseid.

Tõendid töötleja kohustuste täitmise kohta vastavalt DSGVO-le tuleks esitada eelkõige sõltumatute testiaruannete ja sertifikaatide abil.

Kui kliendil on faktiliste tõendite alusel põhjendatud kahtlusi, et testiaruanded või sertifikaadid on ebapiisavad või ebaõiged, või kui seda õigustavad kliendi tellimuse täitmisega seotud erijuhtumid DSGVO artikli 33 lõike 1 tähenduses, võib klient teostada kontrolli vastavalt punktile 8. (2).

(2) Et võimaldada kliendil tellimust kontrollida ja eelkõige kontrollida tellitud töötleja juures enne andmetöötluse algust ja selle käigus regulaarselt võetud tehnilisi ja organisatsioonilisi meetmeid, peab tellitud töötleja lubama kontrolli teostamist kliendi poolt volitatud neutraalse kolmanda isiku (vandeaudiitori) poolt. Tellitud töötlejal on õigus määrata kontrolli kuupäevad vastavalt tegevusvõimalustele. Kontroll tuleb võimaldada mõistliku aja jooksul pärast taotluse esitamist. Alternatiivina võib töötleja kliendi kontrolliõigust täita ka sõltumatu vandetõendatud audiitori poolt töötleja nimel koostatud kontrolliaruande esitamisega. Kontrolliõiguse kasutamine ei tohi põhjendamatult häirida töötleja äritegevust ega olla kuritarvitav.

(3) Tellimustöötlejal on õigus nõuda kliendilt mõistlikku tasu punktis 8. (2) nimetatud kontrollide eest.

9. Allhankesuhete osakaal

(1) Töötleja võib allhankijaid kasutada ainult kliendi kirjaliku nõusoleku alusel. Tellimustöötleja peab käesoleva lepingu 2. lisas täpsustama kõik lepingu sõlmimise ajal juba olemasolevad allhankesuhted.

(2) Töötleja valib alltöövõtja hoolikalt välja ja kontrollib enne tellimuse esitamist, kas alltöövõtja suudab täita kliendi ja töötleja vahel sõlmitud kokkuleppeid. Eelkõige peab töötleja eelnevalt ja lepinguperioodi jooksul regulaarselt kontrollima, kas alltöövõtja on võtnud isikuandmete kaitseks artiklis 32 DSGVO nõutud tehnilised ja organisatsioonilised meetmed. Allhankija peab kontrolli tulemuse dokumenteerima ja tegema selle kliendi nõudmisel kättesaadavaks.

(3) Töötleja on kohustatud hankima alltöövõtjalt kinnituse, et viimane on määranud ettevõtte andmekaitseametniku vastavalt DSGVO artiklile 37. Juhul, kui alltöövõtja ei ole andmekaitseametnikku määranud, teavitab töötleja sellest klienti ja esitab selle kohta teabe, mis näitab, et alltöövõtjal ei ole seaduslikku kohustust andmekaitseametnikku määrata.

(4) Töötleja tagab, et käesolevas lepingus kokkulepitud sätted ja kliendi võimalikud täiendavad juhised kehtivad ka alltöövõtja suhtes.

(5) Töötleja sõlmib alltöövõtjaga lepingu, mis vastab DSGVO artikli 28 nõuetele. Lisaks paneb töötleja alltöövõtjale samad isikuandmete kaitse kohustused, mis on kehtestatud tellija ja töötleja vahel.

(6) Eelkõige on tellimust täitev pool kohustatud lepinguliste sätetega tagama, et kliendi ja järelevalveasutuste kontrolliõigused (käesoleva lepingu punkt 8) kehtivad ka alltöövõtja suhtes ning et kliendi ja järelevalveasutustega on kokku lepitud vastavad kontrolliõigused. Lisaks lepitakse lepinguga kokku, et alltöövõtja aktsepteerib neid kontrollimeetmeid ja mis tahes kohapealseid kontrolle.

(7) Allhankesuhteid lõigete 1–6 tähenduses ei loeta teenusteks, mida töötleja saab kolmandatelt isikutelt puhtalt abiteenusena äritegevuse läbiviimiseks. Sellised teenused hõlmavad näiteks puhastusteenuseid, puhtalt telekommunikatsiooniteenuseid, millel puudub konkreetne seos teenustega, mida töötleja osutab tellijale, posti- ja kullerteenuseid, veoteenuseid, turvateenuseid. Töötleja on siiski kohustatud tagama, ka kolmandate isikute poolt osutatavate abiteenuste puhul, et isikuandmete kaitse tagamiseks on võetud asjakohased ettevaatusabinõud ning tehnilised ja organisatsioonilised meetmed. IT-süsteemide või rakenduste hooldus ja teenindus kujutab endast alltöövõtusuhet ja tellimuse töötlemist artikli

10. Konfidentsiaalsuskohustus

(1) Kliendi nimel andmeid töödeldes on töötleja kohustatud hoidma konfidentsiaalsena andmeid, mida ta tellimuse raames saab või millest ta teada saab. Töötleja kohustub järgima samu konfidentsiaalsuse kaitsmise eeskirju, mis kehtivad tellijale. Tellija on kohustatud teavitama töötlejat mis tahes erireeglitest konfidentsiaalsuse kaitsmise osas.

(2) Töötleja kinnitab, et on teadlik kehtivatest andmekaitse-eeskirjadest ja on nende kohaldamisega kursis. Töötleja tagab lisaks, et on tutvustanud oma töötajatele neile kohaldatavaid andmekaitse-eeskirju ja kohustanud neid konfidentsiaalsust hoidma. Töövõtja kinnitab lisaks, et on eelkõige kohustanud töö teostamisega seotud töötajaid hoidma konfidentsiaalsust ning teavitanud neid tellija juhistest.

(3) Lõike 2 kohane töötajate kohustus tuleb tellija nõudmisel tõendada.

11. Asjaomaste isikute õiguste kaitse

(1) Kliendil lasub ainuvastutus asjaomaste isikute õiguste kaitsmise eest. Töötleja on kohustatud toetama klienti tema kohustuses töödelda andmesubjektide taotlusi vastavalt DSGVO artiklitele 12–23. Eelkõige peab andmetöötleja tagama, et sellega seoses nõutav teave edastatakse tellijale viivitamatult, et tellija saaks täita oma kohustusi vastavalt DSGVO artikli 12 lõikele 3.

(2) Kui kliendi poolt andmesubjekti õiguste – eelkõige teabe saamise, parandamise, blokeerimise või kustutamise õiguste – kaitsmiseks on vaja töötleja koostööd, võtab töötleja vastavalt kliendi juhistele vajalikud meetmed. Võimaluse korral toetab töötleja tellijat sobivate tehniliste ja organisatsiooniliste meetmetega, et täita oma kohustust vastata andmesubjekti õiguste kasutamise taotlustele. Töötlejal on õigus nõuda kliendilt mõistlikku tasu nende teenuste eest.

(3) See ei piira sätteid, mis käsitlevad töötleja võimalikku hüvitamist lisakulude eest, mis on tekkinud koostööteenuste osutamisel seoses andmesubjektide õiguste kaitsmisega kliendi suhtes.

12. Konfidentsiaalsuskohustused

(1) Mõlemad pooled kohustuvad käsitlema kogu käesoleva lepingu täitmisega seoses saadud teavet piiramatu ajaks konfidentsiaalsena ja kasutama seda ainult lepingu täitmiseks. Kumbki pool ei tohi seda teavet tervikuna ega osaliselt kasutada muudel kui eespool nimetatud eesmärkidel ega teha seda teavet kättesaadavaks kolmandatele isikutele.

(2) Eespool nimetatud kohustus ei kehti teabe suhtes, mille üks osapooltest on tõendatavalt saanud kolmandatelt isikutelt ilma konfidentsiaalsuskohustuseta või mis on üldsusele teada.

13. Töötlemine

Töötleja ei saa käesoleva lepingu eest eraldi tasu.

14. Andmete turvalisuse tehnilised ja organisatsioonilised meetmed

(1) Töötleja kohustub kliendi ees järgima tehnilisi ja organisatsioonilisi meetmeid, mis on vajalikud kehtivate andmekaitse-eeskirjade täitmiseks. See hõlmab eelkõige DSGVO artikli 32 nõudeid.

(2) Lepingu sõlmimise ajal kehtivate tehniliste ja organisatsiooniliste meetmete loetelu on lisatud käesolevale lepingule 3. lisana. Pooled lepivad kokku, et tehniliste ja õiguslike tingimustega kohanemiseks võivad olla vajalikud muudatused tehnilistes ja organisatsioonilistes meetmetes. Olulised muudatused, mis võivad mõjutada isikuandmete terviklikkust, konfidentsiaalsust või kättesaadavust, lepitakse töötleja poolt eelnevalt kokku kliendiga. Meetmed, mis hõlmavad vaid väikeseid tehnilisi või organisatsioonilisi muudatusi ega mõjuta negatiivselt isikuandmete terviklikkust, konfidentsiaalsust ega kättesaadavust, võib töötleja rakendada ilma kliendiga konsulteerimata. Klient võib igal ajal taotleda töötleja poolt

võetud

tehniliste ja

organisatsiooniliste

meetmete ajakohastatud versiooni.

(3) Töötleja kontrollib enda poolt võetud tehniliste ja organisatsiooniliste meetmete tõhusust regulaarselt ja ka vajaduse korral. Juhul, kui on vaja meetmeid optimeerida ja/või muuta, teavitab töötleja sellest klienti.

15. Tellimuse kehtivusaeg

(1) Leping jõustub tellimuse esitamisel ja sõlmitakse tähtajatult.

(2) Leping lõpeb põhilepingu (rakenduste pakett või mis tahes teenus) lõppemisel, ilma et oleks vaja eraldi lepingut lõpetada.

Käesoleva lepingu lõppemise järgsed kustutamis- ja tagastamiskohustused on reguleeritud punktis 16.

(3) Tellija võib lepingu igal ajal ilma etteteatamiseta lõpetada, kui töötleja on tõsiselt rikkunud talle kohaldatavaid andmekaitsesätteid või käesolevast lepingust tulenevaid kohustusi, kui töötleja ei suuda või ei soovi täita tellija antud juhiseid või kui töötleja keeldub lepingut rikkudes juurdepääsu võimaldamisest tellijale või pädevale järelevalveasutusele.

16. Lõpetamine

(1) Lepingu lõppemisel tagastab volitatud töötleja kliendile või kustutab kliendi valikul kõik dokumendid, andmed ja loodud töötlemis- või kasutustulemused, mis on tema valdusse jõudnud seoses lepingulise suhtega. Kustutamine dokumenteeritakse sobival viisil. Seadusjärgsed säilitamiskohustused või muud andmete säilitamise kohustused jäävad muutumatuks. Andmekandjate puhul tuleb need kliendi nõutud kustutamise korral hävitada, järgides vähemalt DIN 66399 turvataset 3; klient peab esitama tõendi hävitamise kohta, viidates turvatasemele vastavalt DIN 66399-le.

(2) Kliendil on õigus kontrollida andmete täielikku ja lepingujärgset tagastamist ning kustutamist töötleja juures. Seda võib teha ka töötleja ruumides andmetöötlusseadmete kontrollimise teel. Kliendil tuleb kohapealsest kontrollist teatada mõistliku etteteatamisajaga.

17. Kinnipidamisõigus

Pooled lepivad kokku, et töötleja kinnipidamisõiguse vastuväide vastavalt Saksa tsiviilseadustiku (BGB) §-le 273 seoses töödeldud andmete ja nendega seotud andmekandjatega on välistatud.

18. Lõppsätted

(1) Kui kliendi vara on töötleja ruumides ohustatud kolmandate isikute meetmete (nt arestimine või konfiskeerimine), maksejõuetusmenetluse või muude sündmuste tõttu, peab töötleja sellest viivitamatult kliendile teatama. Töötleja peab viivitamatult teavitama võlausaldajaid asjaolust, et andmeid töödeldakse tellimuse alusel.

(2) Lisakokkulepped peavad olema kirjalikud.

(3) Kui käesoleva lepingu üksikud osad on kehtetud, ei mõjuta see lepingu ülejäänud sätete kehtivust.

1. lisa – Tellimuse objekt

1. Töötlemise objekt ja eesmärk

Kliendi tellimus töötlejale hõlmab järgmisi töid ja/või teenuseid: mobiilirakenduste pakkumine (täpsemalt kirjeldatud vastavas kehtivas teenusekirjelduses) ning samasuguse sisuga veebilehed. See hõlmab salvestatud andmete kogumist, töötlemist ja edastamist.

2. Isikuandmete liigid

Regulaarselt töödeldakse järgmisi andmeliike: liiklusandmed, sisuandmed, kontaktandmed, isiku põhiandmed ja suhtlusandmed (nimi, aadress, telefoninumber, faksinumber, e-posti aadress).

3. Asjaomaste isikute ring

Andmetöötlusega seotud isikute ring: Teie konto kasutajad, helistajad ja helistatavad osapooled või SMS-i/faksi saatjad/vastuvõtjad, töötajad, kliendid, äripartnerid, huvitatud isikud ja kliendi teenusepakkujad.

Kui klient on töötleja partner: tellimuse esitanud partneri poolt soovitatud töövõtjate/ettevõtete kontakt-, isiku- ja suhtlusandmed (nimi, aadress, telefoninumber, faksinumber, e-posti aadress).

Klient on kohustatud teavitama konto kasutajaid ja – vajaduse korral – töönõukogu või samaväärseid esindajaid punktis 2 nimetatud andmete töötlemisest.

4. Andmete töötlemise koht:

Kõiki andmeid töödeldakse Euroopa Majanduspiirkonna serverites.

2. lisa – Allhankija

Andmete töötlemiseks tellija nimel kasutab töötleja kolmandate isikute teenuseid, kes töötlevad andmeid tema nimel („allhankijad”).

Töötleja kasutab oma teenuste osutamiseks erinevaid allhankijaid.

Need allhankijad on esialgu järgmised töötleja ettevõtted, kes teevad eeltööd töötleja teenuste osutamiseks. Nende andmete töötlemiseks on ettevõtete vahel sõlmitud vajalikud lepingud.

Need on järgmised ettevõtted:

Jungherz LLC, 1621 Central Ave, Cheyenne, WY 82001

Mailjet GmbH, c/o Mindspace, Friedrichstraße 68, 10117 Berliin,

netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe

OVH Groupe SAS, 2 Rue Kellermann Roubaix, 59100 Prantsusmaa

Digistore24 GmbH, St.-Godehard-Str. 32, 31139 Hildesheim

CopeCart GmbH, Ufnaustrasse 10, 10553 Berliin

Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Dublin, D02 H210, Iirimaa

3. lisa – Tellimuste töötleja tehnilised ja organisatsioonilised meetmed

Tellimuste töötleja võtab andmete turvalisuse tagamiseks järgmised tehnilised ja organisatsioonilised meetmed vastavalt DSGVO artiklile 32.

1. Konfidentsiaalsus

Juurdepääsu kontroll

Et vältida volitamata juurdepääsu andmetöötlussüsteemidele, millega andmeid töödeldakse või kasutatakse, on töötleja ja tema alltöövõtjad, nagu Netcup ja Google Cloud Division, rakendanud ulatuslikud formaalsed juurdepääsu kontrolliprotsessid.

Kasutatavates asukohtades asuvad serveriruumid ja serveritehnoloogia ruum. Juurdepääsuks antakse alltöövõtja valitud töötajatele elektroonilised võtmed. Võtmed volitavad vastava alltöövõtja töötajat avama/sulgema ainult selleks otstarbeks heaks kiidetud üksikuid uksi. Kõik võtme avamis- ja sulgemistoimingud registreeritakse elektrooniliselt koos võtme unikaalse ID-ga. Võtmete haldamise eest vastutavad ainult juhtkonna poolt otseselt volitatud alltöövõtja töötajad.

Serveriruum on alati lukustatud ja sinna pääsevad ainult allhankija valitud töötajad.

Vastava asukoha hoones on allhankija töötajate juurdepääsuõigused – isegi neil, kellel on võti – piiratud ulatuses, mis on vajalik konkreetse ülesande täitmiseks.

Tööajal kontrollitakse hoonesse sisenevaid isikuid alaliselt mehitatud vastuvõtulauas. Väljaspool tööaega on kõik hoone sissepääsud lukustatud ja turvatud häiresüsteemiga. Hoonet turvatakse täiendavalt turvateenistuse poolt. Kõik häiresüsteemi häired edastatakse otse turvateenistusele.

Kõigis andmekeskustes rakendatakse standardseid turvameetmeid. Need vastavad IT-tööstuse uusimatele tehnoloogilistele saavutustele ja parimatele tavadele. Nende hulka kuuluvad logimisega elektroonilised juurdepääsukontrollisüsteemid, mille kaudu lubatakse hoonesse siseneda ainult volitatud isikutel, häiresüsteemid, sise- ja välisvideovalve, ööpäevaringne turvameeskond, hoone turvamine okastraadiga ning kaitse väliste turvateenistuste poolt, keda häire korral teavitatakse automaatselt spetsiaalse häireliini kaudu.

Andmekeskuse üksikute ruumide ja puuride võtmed tuleb alati kätte saada turvatöötajatelt.

Juurdepääsukontroll

Selleks et tagada, et andmete töötlemiseks süsteemi kasutada volitatud isikud pääsevad ligi ainult neile juurdepääsuõiguse alusel kättesaadavatele andmetele ning et salvestatud või töödeldavaid andmeid ei saa volitamata isikud lugeda, kopeerida, muuta ega eemaldada, kasutab töötleja juurdepääsuõiguste haldamiseks keskse süsteemi. Kõik juurdepääsud salvestatakse kohalikult ja kesklogiserverisse. Haldusõigusi saab teostada ainult keskse haldusprogrammi kaudu.

Juurdepääs kõigile andmetele on piiratud ulatuses, mis on vajalik kõigi volitatud isikute konkreetsete ülesannete täitmiseks. Järgitakse andmekaitsealaseid õiguslikke nõudeid, eelkõige isikuandmete kaitse üldmääruse (GDPR) ja TKG nõudeid.

Eraldamine

Töötleja töötleb andmeid serverisüsteemides, mis on võrgus loogiliselt eraldatud loogilise ja füüsilise juurdepääsukontrolli süsteemi abil.

2. Terviklikkus

Sisestuskontroll

Selleks et tagada, et tellimuste töötleja saaks hiljem kontrollida ja kindlaks teha, kas ja kes on andmeid andmetöötlussüsteemidesse sisestanud, muutnud või kustutanud, logitakse kõik juurdepääsud kliendi salvestatud andmetele kohalikult ja kesklogiserveris.

Edastamise kontroll

Selleks et tagada, et volitamata isikud ei saaks andmeid elektroonilise edastamise, transpordi või salvestamise käigus lugeda, kopeerida, muuta või kustutada ning et oleks võimalik kontrollida, kuhu andmed andmeedastussüsteemide kaudu edastatakse, on juurdepääs kõikidele kliendiandmeid töötlevatele süsteemidele allutatud tõhusale juurdepääsukontrollile. Neid juurdepääsukontrollimehhanisme on eespool punktis 3 juba üksikasjalikumalt kirjeldatud.

3. Kättesaadavus ja vastupidavus

Töötleja kasutab kõigis süsteemides dubleeritud süsteemide ja varunduslahenduste kombinatsiooni, et kaitsta salvestatud andmeid ja vajaduse korral neid taastada. Neid süsteeme käitatakse ainult ruumides, mis on turvatud ja varustatud vastavalt praegusele tehnika tasemele, millel on vajalikud kliimaseadmed, tulekahju- ja suitsuandurid ning mille jaoks on olemas üksikasjalikud hädaolukorra plaanid.

4. Regulaarsete läbivaatamise, hindamise ja analüüsimise protseduurid

Kõiki meie enda ja alltöövõtja töötajaid koolitatakse regulaarselt andmekaitse küsimustes. Need koolitused viiakse läbi täielikult ettevõttesiseselt, et oleks võimalik täpselt kohandada neid töötleja jaoks oluliste küsimustega. Nende koolituste käigus käsitletakse üksikasjalikult ka individuaalseid küsimusi.

Kõik töötleja töötajad, kes puutuvad oma töö käigus kokku isikuandmete töötlemisega, on kohustatud isikuandmeid konfidentsiaalselt käsitlema. Seda tehakse regulaarselt uute töötajate töölevõtmisel lepingulise kohustuse deklaratsiooni abil, mille iga töötaja peab allkirjastama.

Töötleja on määranud andmekaitseametniku. Koos oma asetäitjatega tagab andmekaitseametnik, et andmesubjektide päringutele vastatakse õigeaegselt.

Töötleja peab registrit töötlemistoimingute kohta vastavalt DSGVO artikli 30 lõigetele 1 ja 2. See töötlemistoimingute loetelu ei ole avalik.

(seisuga 16. veebruar 2022)